Discussion:
Rechte von Usern / Grupper auf OU Ebene ermitteln
(zu alt für eine Antwort)
Jürgen
2010-05-25 09:12:01 UTC
Permalink
Hallo zusammen,

gibt es eine Möglichkeit die Rechte eines Users /Gruupe zu ermittelen
welche auf einer OU vergeben wurden.

Hintergrund:
Bei uns gibt es ziemlich viele OU's und teilweise wurden dort User / Gruppen
verschiedene Berechtigungen erteilt.

Ich will jetzt quasi auslesen wo der User XY Rechte auf einer OU hat.

Gibt es da eine Möglichkeit`?

Gruß
Jürgen
Yusuf Dikmenoglu [MVP]
2010-05-25 09:39:01 UTC
Permalink
Servus,

DSACLS und DSREVOKE:

[LDAP://Yusufs.Directory.Blog/ - Delegierte AD-Berechtigungen anzeigen und
entfernen
http://blog.dikmenoglu.de/Delegierte+ADBerechtigungen+Anzeigen+Und+Entfernen.aspx


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
http://twitter.com/YusufsDSBlog
========================================
Jürgen
2010-05-25 11:35:01 UTC
Permalink
Hallo

und danke für die schnelle Antwort. Im Prinzip ist es genau, dass was ich
gesucht habe aber leider bekomme ich bei der Auswertung eine Fehlermeldung:
"Error occurred in finding ACEs"

Die Lösungsvorschläge von diversen Webseiten funktionieren nicht bzw.
treffen nicht zu.

Vielleicht finde ich ja noch die Lösung für mein Problem.

Gruß
Jürgen
Post by Yusuf Dikmenoglu [MVP]
Servus,
[LDAP://Yusufs.Directory.Blog/ - Delegierte AD-Berechtigungen anzeigen und
entfernen]
http://blog.dikmenoglu.de/Delegierte+ADBerechtigungen+Anzeigen+Und+Entfernen.aspx
Gruß, Yusuf
========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
http://twitter.com/YusufsDSBlog
========================================
Yusuf Dikmenoglu [MVP]
2010-05-25 13:51:01 UTC
Permalink
Post by Jürgen
"Error occurred in finding ACEs"
Du hast es mit DSREVOKE versucht und im OU-Namen ist ein Schrägstrich "/"
enthalten? Dann ist das "normal" und dir bleibt nichts anderes übrig, als den
OU-Namen zumindest für die Auswertung umzubenennen.

[When you use the Dsrevoke command-line tool to report permissions for all
the organizational units in a Windows Server 2003-based domain, the tool may
not return all the access control entries]
http://support.microsoft.com/kb/927068/en-us


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
http://twitter.com/YusufsDSBlog
========================================

Loading...